Digital Forensics:Windows Registry
Windows Registry
ถูกใช้เพื่อจัดเก็บข้อมูลและการตั้งค่าสำหรับโปรแกรมซอฟต์แวร์อุปกรณ์ฮาร์ดแวร์ค่ากำหนดของผู้ใช้การกำหนดค่าระบบปฏิบัติการและอื่น
ๆ อีกมากมาย
Windows Registry
มักเรียกง่ายๆว่ารีจิสทรีคือชุดของฐานข้อมูลของการตั้งค่าคอนฟิกในระบบปฏิบัติการ Microsoft Windows
Windows Registry คือ
ฐานข้อมูลแบบลำดับชั้นส่วนกลางที่ใช้ใน Microsoft Windows 98, Windows CE,
Windows NT และ Windows 2000
ใช้เพื่อเก็บข้อมูลที่จำเป็นในการกำหนดค่าระบบสำหรับผู้ใช้อย่างน้อยหนึ่งราย
โปรแกรมประยุกต์และอุปกรณ์ฮาร์ดแวร์มากกว่าหนึ่งรายการ
รีจิสทรีมีข้อมูลที่ Windows ใช้อ้างอิงต่อเนื่องระหว่างการทำงาน เช่น โปรไฟล์สำหรับผู้ใช้แต่ละราย โปรแกรมประยุกต์ต่างๆ ที่ติดตั้งในคอมพิวเตอร์และประเภทของเอกสารต่างๆ ที่แต่ละคนสามารถสร้าง การตั้งค่าแผ่นคุณสมบัติสำหรับโฟลเดอร์ต่างๆ และไอคอนโปรแกรมประยุกต์ต่างๆ ฮาร์ดแวร์ที่มีในระบบ และพอร์ตต่างๆ ที่มีการใช้งาน
Structure of the Registry |
Registry Hive
คือกลุ่มของคีย์ต่างๆ คีย์ย่อย และค่าต่างๆ
ในรีจิสทรีที่มีชุดของแฟ้มสนับสนุนที่มีการสำรองของข้อมูลอยู่
แฟ้มสนับสนุนสำหรับไฮฟ์ทั้งหมด ยกเว้น HKEY_CURRENT_USER จะอยู่ในโฟลเดอร์
%SystemRoot%\System32\Config ใน Windows NT 4.0, Windows 2000, Windows
XP, Windows Server 2003 และ Windows Vista แฟ้มสนับสนุนสำหรับ
HKEY_CURRENT_USER จะอยู่ในโฟลเดอร์ %SystemRoot%\Profiles\Username
ส่วนขยายของแฟ้มสำหรับแฟ้มต่างๆ
ในโฟลเดอร์เหล่านี้จะแสดงถึงชนิดของข้อมูลที่อยู่ในโฟลเดอร์ เช่นเดียวกัน
บางครั้งการไม่มีส่วนขยายก็อาจบ่งชี้ถึงชนิดของข้อมูลในโฟลเดอร์เช่นกัน
กลุ่มและหน้าที่ของ Registry Root Key
Registry Root Key แบ่งออกได้ 5 กลุ่ม แต่ละกลุ่มจะมีหน้าที่เก็บข้อมูลที่แตกต่างกันไป แต่ก็จะมีความสัมพันธ์ของข้อมูลในแต่ละกลุ่มอยู่ ซึ่งมีรายละเอียดดังนี้HKEY_CLASSES_ROOT
ใช้เก็บข้อมูลเกี่ยวกับไฟล์ต่างๆ ที่ติดตั้งเข้ามาในวินโดวส์ เช่น นามสกุลของไฟล์ต่างๆ ซึ่งจะเชื่อมโยงกับ HKEY_LOCAL_MACHINE\SOFTWARE\Classes
HKEY_CURRENT_USER
เก็บข้อมูลรวมทั้งค่าต่างๆ ของยูสเซอร์ที่ใช้งานอยู่ในขณะนั้น เช่น หน้าจอ Control Panel ซึ่งจะเชื่อมโยงกับ HKEY_USERS
HKEY_LOCAL_MACHINE
เชื่อมโยงกับไฟล์ฮิฟอื่นๆ โดยที่คีย์ตัวนี้จะไม่มีไฟล์ฮีฟของตัวเองบนดิสก์เหมือนคีย์อื่นๆ ทำหน้าที่เก็บค่าบนวินโดวส์ของผู้ใช้ทุกคน โดยจะแสดงในส่วนของ Device Manager
HKEY_USERS
เก็บโพรไฟล์หรือค่าของผู้ใช้ทุกคน ค่าที่เก็บในส่วนนี้จะเหมือนกับค่าที่อยู่ใน HKEY_CURRENT_USER ที่เป็นอย่างนี้มีเหตุผลในการทำงานของตัววินโดวส์เอง
HKEY_CURRENT_CONFIG
เก็บค่าฮาร์ดแวร์ที่ใช้งานอยู่ในปัจจุบัน เช่น ความละเอียดจอ,อุปกรณ์ต่าง ๆ ซึ่งจะเชื่อมโยงกับ HKEY_LOCAL_MACHINE
Registry Hive and related files |
ที่เก็บ Windows Registry อยู่ที่ไหน?
ไฟล์รีจิสทรี SAM, SECURITY, SOFTWARE, SYSTEM และ DEFAULT และอื่น ๆ จะถูกเก็บไว้ใน Windows เวอร์ชันใหม่ (เช่น Windows XP ถึง Windows 10) ใน% SystemRoot% System32 Config โฟลเดอร์
ตัวอย่างเช่นเมื่อมีการติดตั้งโปรแกรมใหม่ชุดคำสั่งใหม่และการอ้างอิงไฟล์อาจถูกเพิ่มลงในรีจิสทรีในตำแหน่งเฉพาะสำหรับโปรแกรมและบางส่วนที่อาจมีผลกระทบกับไฟล์ดังกล่าว
“Quick Win” files #1 - The Registry-Part 1
“Quick Win” files #1 - The Registry-Part 2
ที่มา:
root-key-groups/
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
No comments:
Post a Comment